Reverse Proxy (ex "routage de noms de domaine")

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Reverse Proxy (ex "routage de noms de domaine")

Messagepar Joffrey » 20 Oct 2006 11:12

Hello all,

je voudrais savoir s'il existe un moyen ou un addon capable de faire du routage de nom de domaine sur ipcop ?
C'est à dire que le domaine toto.com soit redirigé sur l'ip locale 192.168.0.1 et tata.com sur 192.168.0.2 par exemple.

J'ai bien essayé de passer par la redirection sur un des 2 serveurs web mais mon cas particulier fait que ce n'est pas la solution idéale.
Pour résumer, l'un des 2 serveurs n'utilise que du http classique et se trouve donc en DMZ, l'autre est un Small Business Server sur green (puisque DC en même temps) avec outlook web access (exchange) en http (pour la page d'acceuil et une partie non dynamique) puis https pour le client de messagerie.
Le serveur web en DMZ ne peux donc pas rediriger vers le vert à moins d'ouvrir des DMZ pinholes, ce qui revient à ne plus avoir de DMZ ...

Une idée ?

Merci d'avance :)
Dernière édition par Joffrey le 20 Nov 2006 11:29, édité 1 fois au total.
Joffrey
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 08 Juil 2005 01:54

Messagepar jdh » 20 Oct 2006 14:02

Un peu de recherche sur le site t'aurait déjà donné des réponses.

2 domaines partagent la même adresse => avec mod_proxy (dans Apache) on peut rediriger les requetes à destination d'un domaine vers un serveur donné, et ceci domaine par domaine.

(rechercher virtualhost)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Joffrey » 15 Nov 2006 11:19

Hello,

J'avais déjà cherché et j'ai passé ces 3 dernières semaines à approfondir la question.
Mais la je sèche...
Mon problème est que je n'utilise pas apache (pas taper...) mais IIS sur les 2 serveurs web.

J'ai bien cherché à faire la modif sur l'apache de l'ipcop mais ce dernier n'écoute pas par défaut sur le port 80 et je ne sais pas trop comment m'y prendre.

J'ai essayé aussi en utilisant les filtrages par entête hote de IIS, mais ça ne fonctionne pas vraiment comme je voudrais (rappel : un serveur est en DMZ l'autre non).

Si une âme charitable passe dans le coin pour éclairer ma lanterne ... :wink:
Joffrey
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 08 Juil 2005 01:54

Messagepar Franck78 » 15 Nov 2006 12:20

Salut,
Le serveur web en DMZ ne peux donc pas rediriger vers le vert à moins d'ouvrir des DMZ pinholes, ce qui revient à ne plus avoir de DMZ ...

1)ah, pourquoi il des 'pinholes' à ton avis?
2)le serveur SBS en green avec owa, c'est pas un trou direct entre internet et green?
3)routage de nom de domaine: on route des paquets IP avec une adresse source et destination forcément connue. C'est au niveau du dns que tu 'devrais' agir (pour avoir deux IP publiques), car bien que le cas soit traité pour HTTP (le nom de domaine est dans la requète), c'est pas le cas pour les autres protocoles.

La conclusion de tout ça est d'après moi: fait appel à un 'pro' pour redisposer correctement les serveurs visibles sur internet avec les ressources dont tu as le controle.

Ou poste ici tes ressources, contraintes, but à atteindre sans imposer de solution bancale.


bye
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 15 Nov 2006 13:21

Le moins que l'on puisse dire c'est que c'est un peu embrouillé !


- Les 2 domaines seront tels que www.xxx et www.yyy pointent sur la même adresse ip c'est à dire l'ip Red de l'IPCOP.
- Le traffic web (TCP/80) DOIT arriver sur un serveur web : ici il y en a 3 : Apache sur l'IPCOP et IIS sur les 2 serveurs.

De façon idéale : le serveur Web Apache de l'IPCOP est configuré pour écouter (virtualhost) pour les 2 sites www.xxx:80 et www.yyy:80. le mod_proxy redirigera ensuite le traffic vers les 2 serveurs (quelque soit leur position Orange=Dmz ou Green=Local.

Bien faché cela doit prendre 10 minutes entre la config, le redémarrage d'Apache et la vérification.

Cela dit, la position normale d'un serveur web c'est en orange et pas en vert ....
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 15 Nov 2006 13:32

Oui, mais le Apache IPCop, il ne sert pas au public. Il n'est présent que pour permettre au GUI de tourner. C'est même pas certain que mod_proxy soit compilé et inclut dans la distri (flemme d'aller voir).

C'est donc pas une solution acceptable.
Tandis qu'un "sme" exclusivement dédié aux services http/mail/ftp devrait bien trouver sa place d'intermédiaire dans la dmz ;-)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 15 Nov 2006 14:24

Tout à fait juste Franck ! (comme la plupart du temps :wink: )

Autre possibilité :

- rediriger le trafic TCP/80 vers le premier serveur web IIS (portforwarding I presume),
- faire du filtrage d'entête (exactement l'équivalent des virtualhost pour Apache) sur le serveur IIS pour "router" le traffic vers le serveur 2.



NB : le filtrage d'entete ne devrait pas être si lourd que ça, et pourrait être intégrer dans IPCOP ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Joffrey » 16 Nov 2006 18:34

Cela dit, la position normale d'un serveur web c'est en orange et pas en vert ....


Small Business Server est controleur de domaine ET serveur web. Je vais pas mettre mon DC sur orange ...
Et je ne pensait pas imposer quoi que ce soit de bancale, je suis juste en face d'une problématique particulière comme ça arrive assez souvent en PME...

Pour rentrer dans les détails :

Le SBS 2003 héberbe un site windows share point services (http://toto.com), OWA (http et https),qui doivent être accesible de l'extérieur (travail collaboratif).
Le 2003 web édition en DMZ héberge d'autres sites (http://tata.com).

Comme je l'ai déjà dis, le filtrage d'entête ne fonctionne pas.
Si j'utilise un filtrage par entête puis redirection depuis DMZ vers GREEN dans IIS alors l'authentification digest de windows pour OWA ne marche plus (en raison j'imagine du fait que IIS redirige le port 80 et non les ports dynamiques utilisés par le digest).
D'après les KB Microsoft, si je veux utiliser le digest, il faut que mon serveur web soit membre du domaine.
Pour ça il faut que j'ouvre une quantité de ports énorme dans les pinholes (http://support.microsoft.com/kb/179442/fr). A ce rythme, y a plus de ports ouverts que de ports fermés...

Pour l'instant je m'en sort en imposant le https pour OWA (redirection du 443 sur le SBS, 80 sur orange) et parce le site sharepoint ne doit être en ligne que dans quelques temps.
D'ou mon désir de faire du routage de noms de domaine.

En espérant avoir été plus clair

Merci d'avance.
Joffrey
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 08 Juil 2005 01:54

Messagepar Franck78 » 16 Nov 2006 19:30

Ce qui est bancale c'est le serveur SBS en green mais visible aussi sur l'internet.

Tu ne jures que par microsoft. As-tu envisagé autre chose que ces deux serveurs directement accessibles depuis le net?

N'y a t-il pas de 'proxy' ou solution déjà satisfaisante (et libre) pour répondre à ton problème?
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Joffrey » 17 Nov 2006 12:19

Si je ne jurait que par Microsoft, j'aurai installé un ISA serveur et non IpCop ...
La SSII ou je bosse est Gold Partner et pourtant je suis le seul dans la boutique à promouvoir l'alternative notamment sur les firewalls avec IpCop.
C'est pas évident de faire plus ... surtout que je suis newbee sur Linux.

D'autre part, je subit les contraintes de mon client qui est une PME est a donc installé un SBS puis un 2003 web édition pour son serveur web. Je me voit mal lui dire de changer son parc serveurs uniquement parce que toto.com et tata.com ne savent pas arriver sur 2 serveurs différents.

Dans une grosse boîte on peut plus facilement faire un réseau dans les normes. En PME, l'architecture est plus souvent limitée par des contraintes (matérielles, facilité et coût de maintenance, autonomie des taches administratives courantes comme la sauvegarde ...).

J'ai bien proposé un nouveau serveur réalisé avec une machine déclassée et SME, mais ça ne passe pas. (Ils n'ont pas besoin du FTP, les mails sont assurés par l'exchange de SBS et ils ont déjà un serveur Web, ils ne comprennent pas l'intérêt) ...
Bref, si l'Apache d'Ipcop n'a pas les virtualhosts de compilés je n'ai plus d'autres solutions à part changer le port d'un des sites. http://toto.com:81 ne fais pas très pro mais je n'ai plus que ça ...

Merci quand même.
Joffrey
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 08 Juil 2005 01:54

Messagepar jdh » 17 Nov 2006 12:49

Faut pas être aussi négatif.

Si tu n'es pas calé en linux, il n'est pas surprenant que l'entreprise préfère Windows. Que cela ne te satisfasse pas est possible, mais c'est assez normal.

C'est une démarche prudente même si ce n'est pas la meilleure. Il est clair que l'on ne reprochera JAMAIS de choisir Microsoft même si cela ne fonctionne pas. Par contre, on reprochera TOUJOURS le choix de Linux si cela ne fonctionne pas. Donc la bonne attitude est d'introduire Linux par étapes, là où Linux est plus performant et plus rapide à mettre en oeuvre.


Si l'Apache de IPCOP n'a pas de mod_proxy disponible, il est peut-être intelligent de mettre une machine genre Debian en DMZ avec Apache et le mod_proxy ainsi que Squid configuré en reverse proxy. Cela réunirait le meilleur des 2 mondes.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 17 Nov 2006 15:34

Le apache 1.3 d'IPCop supporte très bien les virtuals host. C'est d'ailleurs comme ça qu'est hébergé mon petit site.
Si ton client comprend rien au réseau, tu lui dis qu'une 4L et une mercédes sont des voitures avec 5 roues et un moteur. Mais faut pas demander à la 4L d'aller à 200kmh ou à la mercédes de rouler dans les champs.

Ben avec tes serveurs c'est pareil. Il y en a qu'il est bon de mettre sur internet, d'autres non. Même si ca peu fonctionner sur le papier.
C'est à toi d'expliquer clairement les contraintes, les dangers, les solutions bonnes et mauvaises. A toi de décoder une 'offre microsoft':
sbs 'web edition'=> oh la, si le web édition est utilisé, le reste du serveur ne doit pas l'être en même temps.
Mais ca doit apparaitre en tout petit car ils ne peuvent pas décement affirmer que ce genre de montage est répandu, conseillé et sur.


Puis tant qu'on aura pas compris la finalité de deux noms de domaines au même endroit, on aura du mal à te conseiller.
Vu que tu as l'air assez branché 'routage de noms de domaine', qui est un abus de langage, c'est un peu normal que tout le monde soit pommé ;-)
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Joffrey » 20 Nov 2006 11:39

J'ai édité le sujet pour éviter les abus de langage. C'est mieux la ? :wink:


Puis tant qu'on aura pas compris la finalité de deux noms de domaines au même endroit, on aura du mal à te conseiller.


Ultra simple. Une adresse IP publique, plusieurs noms de domaines (en réalité 5) dont 4 arrivent en orange (site commerciaux) et un en vert (site de travail collaboratif et d'accès à OWA).

A moyen terme j'installerai un apache, mais entre temps est-il possible de faire du reverse proxy avec l'apache d'IpCop ?
Le mod_proxy est il compilé dessus ?

Merci d'avance.
Joffrey
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 08 Juil 2005 01:54

Messagepar Franck78 » 20 Nov 2006 11:55

C'est un Apache 1.3 sur IPCop. Vérifie d'abord que ce mod existe bien, ensuite c'est un jeu d'enfant de modifier la conf de compilation de l'IPCop si besoin est.


Code: Tout sélectionner
# Apache
   99    cd $(DIR_APP) && CFLAGS="$(CFLAGS)" \
  100        EAPI_MM=$(DIR_SRC)/mm-1.4.2 ./configure \
  101        --prefix=/home/httpd --exec-prefix=/usr \
  102        --sysconfdir=/etc/httpd/conf --logfiledir=/var/log/httpd \
  103        --includedir=/usr/include/apache --mandir=/usr/share/man \
  104        --localstatedir=/var --runtimedir=/var/run \
  105        --disable-rule=SHARED_CHAIN --disable-rule=SHARED_CORE \
  106        --disable-rule=EXPAT --disable-rule=WANTHSREGEX \
  107        --enable-rule=EAPI --enable-module=rewrite \
  108        --disable-module=negotiation --disable-module=status \
  109        --disable-module=include --disable-module=autoindex \
  110        --disable-module=asis \
  111        --disable-module=imap --disable-module=actions \
  112        --disable-module=userdir \
  113        --enable-module=ssl


Mais ton pb ressemble plus à de classiques serveurs virtuels, excepté qu'un serveur est 'matériel'. Je n'ai pas étudié ce cas de figure et ne pense pas que 'reverse_proxy' résolve quelquechose.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Joffrey » 20 Nov 2006 12:30

Je suis tombé sur ça http://www.linux-nantes.org/spip.php?article303 ce qui me fais penser que le reverse proxy pourrait m'aider.

Donc en toute logique je dois faire :

1/ vérifier que l'apache 1.3 d'IpCop intègre le module mod_proxy
=> je cherche comment faire mais en attendant une piste pour savoir ça ?

2/ Configurer IpCop pour écouter sur le port 80 et non plus 81
=> je suppose changer 81 par 80 dans /etc/httpd/conf/httpd.conf
Code: Tout sélectionner
"Listen 80"

ça va suffir ? Il me semble que l'écoute sur le port 81 était bloquée autrement ?

3/Configurer le reverse proxy en lui même
=> rajouter dans /etc/httpd/conf/httpd.conf après le VirtualHost d'Ipcop (celui sur le 445 par défaut)

<VirtualHost *>
ServerName www.toto.com
ProxyPass / http://192.168.1.1/
ProxyPassReverse / http://192.168.1.1/
</VirtualHost>

<VirtualHost *>
ServerName www.tata.com
ProxyPass / http://192.168.0.2/
ProxyPassReverse / http://192.168.0.2/
</VirtualHost>

192.168.0.2 étant l'IP local du 2ème serveur web en GREEN
192.168.1.1 étant l'IP local du 1er serveur web en DMZ

J'ai oublié des choses ou je tiens le bon bout ?
Je voudrais quand même être sur avant de mettre les mains dans le camboui :oops:

Encore merci
Joffrey
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 08 Juil 2005 01:54

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron